Benutten van nieuwe GPT-4 API's
Exploiting Novel GPT-4 APIs
December 21, 2023
Auteurs: Kellin Pelrine, Mohammad Taufeeque, Michał Zając, Euan McLean, Adam Gleave
cs.AI
Samenvatting
Taalmodelaanvallen gaan doorgaans uit van een van twee extreme dreigingsmodellen: volledige white-box toegang tot modelgewichten, of black-box toegang beperkt tot een tekstgeneratie-API. Echter, API's in de praktijk zijn vaak flexibeler dan alleen tekstgeneratie: deze API's bieden ``gray-box'' toegang wat leidt tot nieuwe aanvalsvectoren. Om dit te onderzoeken, hebben we drie nieuwe functionaliteiten in de GPT-4 API's getest: fine-tuning, functie-aanroepen en kennisophaling. We ontdekten dat het finetunen van een model met slechts 15 schadelijke voorbeelden of 100 onschadelijke voorbeelden de kernbeveiligingen van GPT-4 kan uitschakelen, waardoor een reeks schadelijke uitvoer mogelijk wordt. Bovendien ontdekten we dat GPT-4 Assistants gemakkelijk het functie-aanroepschema prijsgeven en kunnen worden gemanipuleerd om willekeurige functie-aanroepen uit te voeren. Tot slot vonden we dat kennisophaling kan worden gekaapt door instructies in ophaaldocumenten te injecteren. Deze kwetsbaarheden benadrukken dat elke uitbreiding van de functionaliteit die door een API wordt blootgesteld, nieuwe kwetsbaarheden kan creëren.
English
Language model attacks typically assume one of two extreme threat models:
full white-box access to model weights, or black-box access limited to a text
generation API. However, real-world APIs are often more flexible than just text
generation: these APIs expose ``gray-box'' access leading to new threat
vectors. To explore this, we red-team three new functionalities exposed in the
GPT-4 APIs: fine-tuning, function calling and knowledge retrieval. We find that
fine-tuning a model on as few as 15 harmful examples or 100 benign examples can
remove core safeguards from GPT-4, enabling a range of harmful outputs.
Furthermore, we find that GPT-4 Assistants readily divulge the function call
schema and can be made to execute arbitrary function calls. Finally, we find
that knowledge retrieval can be hijacked by injecting instructions into
retrieval documents. These vulnerabilities highlight that any additions to the
functionality exposed by an API can create new vulnerabilities.